Gerenciar identidade com o serviço de identidade do GKE

O Google Distributed Cloud oferece suporte ao OpenID Connect (OIDC) e ao Protocolo leve de acesso a diretórios (LDAP) como mecanismos de autenticação para interagir com o servidor da API Kubernetes de um cluster usando o Serviço de identidade do GKE. O serviço de identidade do GKE é um serviço de autenticação que permite trazer suas soluções de identidade atuais para autenticação em vários ambientes do GKE Enterprise. Os usuários podem fazer login e usar seus clusters do GKE na linha de comando (todos os provedores) ou no console do Google Cloud (somente OIDC), tudo isso usando seu provedor de identidade atual.

O serviço de identidade do GKE funciona com qualquer tipo de cluster bare metal: administrador, usuário, híbrido ou autônomo. É possível usar provedores de identidade no local e publicamente acessíveis. Por exemplo, se sua empresa executa um servidor de Serviços de Federação do Active Directory (ADFS, na sigla em inglês), o servidor ADFS pode servir como seu provedor de OpenID. Você também pode usar serviços de provedor de identidade acessíveis publicamente, como o Okta. Os certificados de provedor de identidade podem ser emitidos por uma autoridade de certificação (AC) pública conhecida ou por uma AC privada.

Para uma visão geral de como o serviço de identidade do GKE funciona, consulte Introdução ao Serviço de identidade do GKE.

Se você já usa ou quer utilizar os IDs do Google para fazer login nos clusters do GKE em vez de um provedor OIDC ou LDAP, recomendamos usar o gateway do Connect para autenticação. Saiba mais em Como se conectar a clusters registrados usando o gateway do Connect.

Antes de começar

  • Os sistemas headless não são compatíveis. Um fluxo de autenticação baseado em navegador é usado para solicitar o consentimento dos usuários e autorizar a conta de usuário.

  • Para autenticar por meio do console do Google Cloud, cada cluster que você quer configurar precisa ser registrado na sua frota do projeto.

Processo de configuração e opções

O serviço de identidade do GKE é compatível com provedores de identidade que usam os seguintes protocolos:

  • OpenID Connect (OIDC). Fornecemos instruções específicas para configurar alguns provedores OpenID conhecidos, incluindo a Microsoft, mas é possível usar qualquer provedor que implemente o OIDC.

  • Protocolo leve de acesso a diretórios (LDAP): É possível usar o GKE Identity Service para fazer a autenticação usando o LDAP com o Active Directory ou um servidor LDAP.

OIDC

  1. Registre o serviço de identidade do GKE como um cliente com seu provedor OIDC seguindo as instruções em Como configurar provedores para o serviço de identidade do GKE.

  2. Escolha uma destas opções de configuração de cluster:

    • Configure seus clusters no nível da frota seguindo as instruções em Como configurar clusters para o serviço de identidade do GKE no nível da frota (prévia, Google Distributed Cloud versão 1.8 e mais recentes). Com essa opção, sua configuração de autenticação é gerenciada centralmente pelo Google Cloud.

    • Configure os clusters individualmente seguindo as instruções em Como configurar clusters para o serviço de identidade do GKE com OIDC. Como a configuração no nível da frota é um recurso em fase de pré-lançamento, use essa opção em ambientes de produção, se você estiver usando uma versão anterior do Google Distributed Cloud ou se precisar de recursos do GKE Identity Service que ainda não são compatíveis com o gerenciamento do ciclo de vida no nível da frota.

  3. Configure o acesso de usuário aos clusters, incluindo o controle de acesso baseado em papéis (RBAC), seguindo as instruções em Como configurar o acesso de usuários ao serviço de identidade do GKE.

LDAP

Acessar clusters

Depois que o serviço de identidade do GKE for configurado, os usuários poderão fazer login em clusters configurados usando a linha de comando ou o console do Google Cloud.